Календарь

<a href=http://www.rorer.ru/><img src=http://replay.web.archive.org/20061008214558im_/http://engine.rorer.ru/i/240x400.gif width=240 height=420 border=0 alt="RORER advertising network"></a> Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может произвести CSRF нападение и создать учетные записи пользователей с административными привилегиями.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "password" в сценарии admin/index.php, когда параметр "filename" равен "adminlogin". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения, сообщает SecurityLab.